Le Règlement (UE) 2024/1689 — l'EU AI Act — impose des obligations graduées selon le niveau de risque du système d'IA. Cette approche proportionnelle signifie qu'un chatbot de service client n'aura pas les mêmes contraintes qu'un algorithme de scoring bancaire. Reste à savoir précisément où se situe votre système, et quelles actions concrètes en découlent.
Ce guide détaille chaque niveau d'obligation, avec des checklists opérationnelles. Si vous découvrez l'AI Act, commencez par notre guide complet de l'EU AI Act pour une vue d'ensemble.
Étape préalable : classifier votre système d'IA
Avant toute chose, vous devez déterminer dans quelle catégorie tombe votre système. L'article 6 du règlement et ses Annexes I et III constituent la base de cette classification.
La question centrale : quel impact votre système d'IA peut-il avoir sur les droits fondamentaux, la santé ou la sécurité des personnes ?
- Vérifier si le système figure parmi les pratiques interdites (art. 5) — si oui, arrêt immédiat
- Vérifier si le système est listé à l'Annexe III (8 domaines à haut risque) ou intégré à un produit couvert par l'Annexe I
- Si non, vérifier s'il interagit directement avec des personnes physiques (obligation de transparence, art. 50)
- À défaut, le système relève du risque minimal — pas d'obligation spécifique
Attention à l'article 6(3) : même si un système est listé à l'Annexe III, il peut être exclu du haut risque s'il effectue une tâche procédurale étroite, améliore le résultat d'une activité humaine préalable, détecte des schémas décisionnels sans remplacer l'évaluation humaine, ou ne fait que préparer une évaluation pertinente pour les cas d'utilisation listés.
Obligations pour les systèmes à haut risque
C'est le coeur du règlement. Les articles 8 à 49 détaillent un régime complet que les fournisseurs et déployeurs doivent respecter avant le 2 août 2026 (Annexe III) ou avant le 2 août 2027 (Annexe I).
Obligations des fournisseurs (articles 8-25)
| Obligation | Article | Description | Livrable |
|---|---|---|---|
| Gestion des risques | Art. 9 | Système itératif d'identification, analyse et atténuation des risques tout au long du cycle de vie | Document de gestion des risques |
| Gouvernance des données | Art. 10 | Données d'entraînement pertinentes, représentatives, sans erreurs, vérification des biais | Fiche technique des jeux de données |
| Documentation technique | Art. 11 + Annexe IV | Description détaillée du système, de ses finalités, performances, limites, processus de développement | Dossier technique complet |
| Journalisation | Art. 12 | Enregistrement automatique des événements (logs) pendant le fonctionnement | Système de logging opérationnel |
| Transparence | Art. 13 | Instructions d'utilisation claires pour les déployeurs, y compris capacités et limites | Notice d'utilisation |
| Contrôle humain | Art. 14 | Mesures permettant une surveillance effective par des personnes physiques | Protocole de contrôle humain |
| Précision et robustesse | Art. 15 | Niveaux appropriés de précision, robustesse et cybersécurité | Rapports de tests |
| Système qualité | Art. 17 | Système de management de la qualité documenté | Manuel qualité |
| Marquage CE | Art. 48 | Apposition du marquage CE après évaluation de conformité | Déclaration de conformité UE |
| Enregistrement | Art. 49 | Enregistrement dans la base de données européenne avant mise sur le marché | Fiche dans la base EU |
Obligations des déployeurs (articles 26-27)
Les déployeurs — c'est-à-dire les entreprises qui utilisent un système d'IA à haut risque — ont aussi des obligations significatives, même s'ils n'ont pas développé le système.
- Utilisation conforme (art. 26§1) : utiliser le système conformément aux instructions d'utilisation du fournisseur
- Contrôle humain (art. 26§2) : s'assurer que les personnes chargées du contrôle humain ont la compétence, la formation et l'autorité nécessaires
- Données d'entrée (art. 26§4) : vérifier la pertinence et la représentativité des données d'entrée
- Surveillance (art. 26§5) : surveiller le fonctionnement du système et signaler tout risque au fournisseur
- Conservation des logs (art. 26§6) : conserver les journaux générés automatiquement pendant au moins 6 mois
- Évaluation d'impact (art. 27) : réaliser une analyse d'impact sur les droits fondamentaux avant la mise en service, pour certains déployeurs (organismes publics, services privés essentiels)
- Information des personnes (art. 26§7) : informer les personnes physiques qu'elles font l'objet d'un système à haut risque
Obligations de transparence (risque limité)
L'article 50 impose des obligations de transparence pour certains systèmes, même s'ils ne sont pas classés à haut risque :
| Système | Obligation | Détail |
|---|---|---|
| Chatbots / agents conversationnels | Informer l'utilisateur | La personne doit savoir qu'elle interagit avec une IA (sauf si c'est évident) |
| Systèmes de reconnaissance des émotions | Informer les personnes exposées | Notification préalable que le système analyse les émotions |
| Systèmes de catégorisation biométrique | Informer les personnes exposées | Information sur le fonctionnement et les catégories utilisées |
| Deepfakes (image, audio, vidéo) | Marquage du contenu | Le contenu généré ou manipulé doit être étiqueté comme artificiel, de manière lisible par machine |
| Texte généré par IA | Marquage si sujet d'intérêt public | Textes publiés sur des sujets d'intérêt public doivent être identifiés comme générés par IA |
Obligations pour les modèles GPAI (IA à usage général)
Le Chapitre V (articles 51 à 56) crée un régime distinct pour les modèles de fondation. Ces obligations s'appliquent depuis le 2 août 2025.
Tous les fournisseurs de modèles GPAI doivent respecter un socle commun :
- Documentation technique conforme à l'Annexe XI
- Politique de respect du droit d'auteur (directive 2019/790), notamment la clause d'opt-out du text and data mining
- Publication d'un résumé suffisamment détaillé du contenu d'entraînement
- Coopération avec les autorités nationales et le Bureau européen de l'IA
Les modèles à risque systémique (plus de 10^25 FLOPS d'entraînement cumulés, ou désignation par la Commission) ont des obligations supplémentaires : évaluations de modèle incluant des tests adversariaux, évaluation et atténuation des risques systémiques, signalement des incidents graves au Bureau de l'IA, et protection adéquate en matière de cybersécurité.
Checklist par type d'entreprise
| Profil d'entreprise | Actions prioritaires | Échéance |
|---|---|---|
| Start-up développant un modèle IA | Classification risque, documentation technique, évaluation de conformité, enregistrement base EU | 2 août 2026 |
| PME utilisant des outils IA (CRM, RH, marketing) | Inventaire des systèmes IA, vérification des certifications fournisseurs, formation équipes | 2 août 2026 |
| ETI / Grand groupe (fournisseur) | Système qualité complet, conformité ex ante, marquage CE, surveillance post-marché | 2 août 2026 |
| Banque / Assurance | Audit des modèles de scoring, évaluation d'impact droits fondamentaux, contrôle humain sur les décisions | 2 août 2026 |
| Éditeur SaaS intégrant de l'IA | Transparence (art. 50), documentation pour les clients, marquage contenu IA | 2 août 2026 |
| Organisme public | Évaluation d'impact obligatoire (art. 27), registre public des systèmes utilisés, contrôle humain renforcé | 2 août 2026 |
Pour un plan d'action détaillé adapté aux petites structures, consultez notre guide de conformité PME en 10 étapes. Pour comprendre les risques financiers en cas de non-conformité, voir notre analyse des sanctions de l'AI Act.
Questions fréquentes
Consultez l'Annexe III du Règlement (UE) 2024/1689 qui liste 8 domaines d'application à haut risque : biométrie, infrastructures critiques, éducation/formation, emploi/RH, services essentiels (crédit, assurance), forces de l'ordre, immigration, justice. Si votre système entre dans l'un de ces domaines ET prend ou aide à prendre des décisions affectant des personnes physiques, il est probablement à haut risque. L'exception de l'article 6(3) peut toutefois s'appliquer si le système n'effectue qu'une tâche procédurale étroite.
Oui, mais uniquement par l'obligation de transparence de l'article 50 : vous devez informer l'utilisateur qu'il interagit avec une IA. Cette obligation est relativement légère — un message du type « Vous échangez avec un assistant IA » suffit. Le chatbot ne sera classé à haut risque que s'il est utilisé dans un domaine listé à l'Annexe III (par exemple, un chatbot qui pré-filtre des candidatures RH).
Non. Le fournisseur (celui qui développe ou met sur le marché le système) porte la charge principale : documentation technique, évaluation de conformité, marquage CE, système qualité. Le déployeur (celui qui utilise le système) doit l'utiliser conformément aux instructions, assurer le contrôle humain, conserver les logs et, dans certains cas, réaliser une évaluation d'impact sur les droits fondamentaux. Attention : l'article 25 prévoit que le déployeur devient fournisseur s'il modifie substantiellement le système ou le commercialise sous son propre nom.